Shadow IT Ancaman di Balik Layar

Shadow IT Ancaman di Balik Layar – “Shadow IT” adalah salah satu risiko siber yang tumbuh subur di balik layar perusahaan. Meskipun terdengar futuristik, fenomena ini adalah praktik yang sangat umum.

Yakni penggunaan aplikasi, perangkat, atau layanan teknologi informasi (TI) oleh karyawan atau tim kerja tanpa sepengetahuan dan persetujuan resmi dari departemen IT perusahaan.

Sederhananya, Shadow IT adalah teknologi yang tidak tercatat dalam daftar aset resmi perusahaan, tetapi digunakan untuk menyelesaikan pekerjaan.

Contoh Umum Shadow IT

• Menggunakan Dropbox/Google Drive pribadi untuk menyimpan dan berbagi dokumen rahasia perusahaan.
• Tim pemasaran mendaftar ke layanan AI generatif (seperti ChatGPT atau Bard) dan memasukkan data pelanggan sensitif.
• Karyawan menggunakan aplikasi project management gratis yang tidak disetujui untuk kolaborasi tim.
• Menggunakan perangkat USB flash drive pribadi atau laptop sendiri (BYOD) tanpa dikonfigurasi keamanan perusahaan.

Mengapa Shadow IT Sangat Berisiko?

Meskipun niat karyawan seringkali baik (yaitu untuk mempercepat pekerjaan), Shadow IT menciptakan lubang keamanan besar yang sulit dideteksi oleh tim IT.

1. Peningkatan Kerentanan Terhadap Serangan Siber

Aplikasi yang tidak diawasi oleh tim IT seringkali memiliki standar keamanan yang lebih rendah atau belum diperbarui (di-patch).

• Aplikasi gratis atau layanan pihak ketiga yang tidak terverifikasi bisa mengandung malware atau backdoor yang memberikan akses mudah kepada peretas ke jaringan perusahaan.
• Jika data sensitif disimpan di cloud pribadi karyawan, tim IT tidak bisa menerapkan firewall, enkripsi data, atau memantau siapa saja yang mengaksesnya.

2. Risiko Kehilangan dan Kebocoran Data

Ini adalah dampak paling fatal dari Shadow IT. Data sensitif perusahaan, seperti daftar pelanggan, strategi bisnis, atau informasi keuangan, berisiko tinggi terekspos.

• Penyimpanan yang Tidak Terlindungi. Ketika karyawan menyimpan data perusahaan di akun cloud pribadi, data tersebut akan tetap ada di sana meskipun karyawan tersebut keluar dari perusahaan. Kontrol perusahaan terhadap data tersebut pun lenyap.
• Pengaturan Akses yang Longgar. Karyawan seringkali membagikan tautan file di platform Shadow IT dengan izin yang terlalu luas, sehingga data rahasia bisa diakses oleh pihak luar yang tidak berhak.

3. Ancaman Kegagalan Kepatuhan (Kompliansi)

Bagi perusahaan yang beroperasi di sektor keuangan, kesehatan, atau yang terikat dengan regulasi perlindungan data pribadi (seperti UU PDP di Indonesia), Shadow IT adalah mimpi buruk.

• Audit yang Gagal. Saat audit kepatuhan (misalnya untuk ISO 27001 atau regulasi industri), auditor akan meminta daftar lengkap sistem dan lokasi penyimpanan data. Aplikasi Shadow IT tidak tercatat, sehingga perusahaan dianggap gagal memenuhi standar kepatuhan.
• Denda dan Sanksi Hukum. Jika terjadi kebocoran data yang disebabkan oleh aplikasi Shadow IT, perusahaan bisa menghadapi denda besar dan sanksi hukum karena dianggap lalai dalam melindungi data, melanggar regulasi yang berlaku.

Perusahaan, Pekerja, dan Orang Awam

Mengatasi Shadow IT bukanlah tentang melarang, melainkan tentang mengelola dan mengedukasi.

Untuk Perusahaan & Tim IT</h4>

1. Gunakan alat pem

• Pantauan (monitoring tools) yang mampu mendeteksi dan mengidentifikasi aplikasi tidak resmi yang digunakan di jaringan.
• Tim IT perlu mendengarkan. Jika karyawan mencari solusi eksternal, itu berarti alat resmi perusahaan kurang memadai. Sediakan alternatif resmi yang aman, mudah digunakan, dan sefleksibel layanan populer.
• Susun daftar perangkat lunak dan layanan yang diizinkan (Whitelisting) dan dilarang. Pastikan ada prosedur yang mudah bagi karyawan untuk mengajukan usulan aplikasi baru.

Pekerja/Karyawan

• Selalu gunakan alat yang telah disediakan dan disetujui oleh departemen IT perusahaan untuk menyimpan, berbagi, dan memproses data kerja.
• Sadari bahwa penggunaan akun pribadi untuk urusan kerja berarti Anda menanggung risiko kerugian finansial dan hukum bagi perusahaan Anda. Data rahasia perusahaan bukanlah milik Anda.
• Jika Anda merasa alat resmi kurang efektif, jangan diam-diam mencari alternatif. Sampaikan kebutuhan Anda kepada tim IT agar mereka dapat mencari solusi resmi yang aman.

Orang Awam

1. Saat memilih perusahaan untuk jasa atau produk, tanyakan bagaimana mereka menyimpan data Anda. Perusahaan yang baik akan memiliki standar kepatuhan yang ketat dan tidak menggunakan Shadow IT.
2. Jika Anda adalah pekerja freelance atau UMKM, terapkan standar keamanan untuk diri sendiri: gunakan sandi unik, aktifkan MFA, dan hindari mencampur data klien dengan akun pribadi.

Dengan meningkatkan kesadaran dan kolaborasi antara departemen IT dan seluruh karyawan, perusahaan dapat mengubah “Hantu Shadow IT” dari ancaman tersembunyi menjadi peluang untuk menciptakan lingkungan kerja yang lebih efisien dan jauh lebih aman.

Sumber berita:

WeLiveSecurity